云存儲(chǔ)是一個(gè)以數(shù)據(jù)存儲(chǔ)和管理為核心的云應(yīng)用系統(tǒng)，給企業(yè)組織提供了一種全新的數(shù)據(jù)信息存儲(chǔ)模式。盡管目前云存儲(chǔ)的安全性問(wèn)題已經(jīng)有了很大改善，但由于云計(jì)算技術(shù)自身的特點(diǎn)，決定了它在安全性方面仍然有很大的挑戰(zhàn)，一旦云存儲(chǔ)的安全防線被攻破，其中存儲(chǔ)的數(shù)據(jù)都將會(huì)被泄露。

本文對(duì)8種常見(jiàn)的云數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)進(jìn)行了整理和分析，并提供了有效的緩解策略。通過(guò)了解這些風(fēng)險(xiǎn)，企業(yè)可以更好地保護(hù)云上數(shù)據(jù)的存儲(chǔ)安全。

1、云平臺(tái)配置錯(cuò)誤

云配置錯(cuò)誤被認(rèn)為是云數(shù)據(jù)存儲(chǔ)中最常見(jiàn)的安全風(fēng)險(xiǎn)之一。由于權(quán)限分配不正確、默認(rèn)配置未更改以及安全設(shè)置管理不當(dāng)?shù)仍?，配置錯(cuò)誤可能會(huì)導(dǎo)致云上敏感數(shù)據(jù)或服務(wù)的暴露，這種情況會(huì)對(duì)所有存儲(chǔ)在錯(cuò)誤配置環(huán)境中的數(shù)據(jù)產(chǎn)生安全性影響。

防護(hù)建議

● 強(qiáng)制執(zhí)行最小特權(quán)原則，將訪問(wèn)權(quán)限保持在資源所需的最低限度，定期查看和更改用戶訪問(wèn)權(quán)限。

● 使用IAM工具，確保正確配置和管理用戶的身份驗(yàn)證和授權(quán)。

● 查看IaC，要求團(tuán)隊(duì)成員檢查基礎(chǔ)結(jié)構(gòu)即代碼（IaC）文件。

● 確定HTTPS的優(yōu)先級(jí)，要求使用HTTPS協(xié)議，并阻止不需要的端口。

● 將API密鑰和密碼保存在一個(gè)集中、安全的管理系統(tǒng)中，將默認(rèn)數(shù)據(jù)存儲(chǔ)設(shè)置設(shè)為私有。

2、數(shù)據(jù)泄露

數(shù)據(jù)泄露通常源于云基礎(chǔ)設(shè)施或應(yīng)用程序中存在的漏洞，黑客會(huì)利用這些漏洞發(fā)起攻擊。他們可能會(huì)利用軟件漏洞、進(jìn)行網(wǎng)絡(luò)釣魚(yú)或利用憑據(jù)泄露等手段來(lái)獲取數(shù)據(jù)。

防護(hù)建議

● 對(duì)傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)進(jìn)行加密，確保基本安全性。

● 使用基于API的CASB方案，防止云訪問(wèn)的違規(guī)行為和數(shù)據(jù)泄露。

● 執(zhí)行定期審核、監(jiān)控活動(dòng)和設(shè)置警報(bào)來(lái)增強(qiáng)云數(shù)據(jù)存儲(chǔ)的安全性。

● 采用微分段和JEA，微分段可以限制不同區(qū)域之間的訪問(wèn)，JEA提供精細(xì)的權(quán)限管理方法，可以加強(qiáng)對(duì)用戶的控制。

● 定期備份云上的數(shù)據(jù)和資源，確保數(shù)據(jù)的可恢復(fù)性。

3、不安全的API接口

攻擊者利用云應(yīng)用系統(tǒng)的API漏洞可以未經(jīng)授權(quán)地訪問(wèn)和操縱數(shù)據(jù)，并在云中植入惡意代碼。隨著API在現(xiàn)代編程中的廣泛應(yīng)用，保護(hù)API對(duì)于緩解常見(jiàn)的攻擊類(lèi)型變得至關(guān)重要，例如代碼注入、訪問(wèn)控制問(wèn)題和利用過(guò)時(shí)組件的漏洞。

防護(hù)建議

● 采用全面的 API安全功能，例如定期輸入數(shù)據(jù)檢查和適當(dāng)?shù)氖跈?quán)協(xié)議。

● 部署Web應(yīng)用防火墻（WAF），根據(jù)IP地址或HTTP標(biāo)頭篩選請(qǐng)求，識(shí)別代碼注入嘗試，并定義響應(yīng)配額。

● 限制給定時(shí)間段內(nèi)來(lái)自單個(gè)用戶或IP地址的API查詢次數(shù)。

● 為API建立完整的監(jiān)控和日志記錄，以跟蹤和評(píng)估操作。

4、DDoS 攻擊

分布式拒絕服務(wù)（DDoS）攻擊會(huì)使云系統(tǒng)遭受大量流量的沖擊，導(dǎo)致容量超載并導(dǎo)致服務(wù)故障。DDoS攻擊對(duì)依賴受影響的云服務(wù)進(jìn)行數(shù)據(jù)訪問(wèn)和存儲(chǔ)的云服務(wù)提供商（CSP）和客戶都會(huì)產(chǎn)生影響。

防護(hù)建議：

● 使用流量過(guò)濾，將真實(shí)流量和惡意流量分開(kāi)，使系統(tǒng)能夠識(shí)別和拒絕有害請(qǐng)求。

● 創(chuàng)建冗余網(wǎng)絡(luò)設(shè)計(jì)，提高云應(yīng)用抵御DDoS攻擊的彈性。

● 定期使用模擬DDoS攻擊定期測(cè)試系統(tǒng)彈性。

● 創(chuàng)建和更新專為DDoS攻擊而設(shè)計(jì)的事件響應(yīng)計(jì)劃。

● 確保 DDoS防護(hù)服務(wù)始終處于活動(dòng)狀態(tài)，并隨著業(yè)務(wù)需求進(jìn)行擴(kuò)展。

5、惡意軟件

當(dāng)惡意軟件感染云服務(wù)提供商的系統(tǒng)時(shí)，它對(duì)云存儲(chǔ)的安全構(gòu)成了巨大威脅。與本地系統(tǒng)一樣，攻擊者可以利用惡意電子郵件附件或社交媒體鏈接來(lái)欺騙用戶。一旦被激活，惡意軟件可能會(huì)通過(guò)竊聽(tīng)或竊取云服務(wù)應(yīng)用程序中的信息，并試圖規(guī)避檢測(cè)，從而對(duì)數(shù)據(jù)安全造成危害。

防護(hù)建議：

● 安裝可靠的防病毒解決方案，并定期更新其病毒庫(kù)和規(guī)則，同時(shí)持續(xù)監(jiān)控云環(huán)境。

● 備份數(shù)據(jù)，在發(fā)生安全事件或數(shù)據(jù)丟失時(shí)快速恢復(fù)。

●網(wǎng)絡(luò)分段隔離不同的部分以防止未經(jīng)授權(quán)的訪問(wèn)。

● 使用多重身份驗(yàn)證（MFA），通過(guò)要求密碼以外的驗(yàn)證來(lái)增加額外的安全性。

● 實(shí)施零信任安全模型，以驗(yàn)證人員和設(shè)備的身份和可信度。

6、惡意內(nèi)部威脅

企業(yè)的內(nèi)部人員可能會(huì)有意濫用其訪問(wèn)權(quán)限，或者由于疏忽而暴露云上關(guān)鍵數(shù)據(jù)。內(nèi)部威脅的發(fā)生可以歸因于多種原因，包括缺乏安全意識(shí)、員工不滿或受到社會(huì)工程攻擊的影響。惡意的內(nèi)部人員還可能利用網(wǎng)絡(luò)釣魚(yú)，嘗試未經(jīng)授權(quán)訪問(wèn)云資源。

防護(hù)建議：

● 在招聘過(guò)程中進(jìn)行徹底的背景調(diào)查，以驗(yàn)證新員工的可信度。

● 設(shè)置嚴(yán)格的訪問(wèn)控制，限制用戶權(quán)限并防止非法訪問(wèn)。

● 持續(xù)開(kāi)展員工培訓(xùn)，提高意識(shí)并倡導(dǎo)安全實(shí)踐。

● 確保強(qiáng)大的用戶身份驗(yàn)證，包括強(qiáng)密碼要求、多因素身份驗(yàn)證 (MFA) 的使用以及定期更換密碼。

● 過(guò)濾網(wǎng)絡(luò)釣魚(yú)電子郵件，采用自動(dòng)化方法來(lái)過(guò)濾網(wǎng)絡(luò)釣魚(yú)電子郵件。

7、數(shù)據(jù)加密不足

當(dāng)云上數(shù)據(jù)沒(méi)有得到適當(dāng)?shù)谋Ｗo(hù)時(shí)，就會(huì)出現(xiàn)數(shù)據(jù)加密不足的問(wèn)題，從而使數(shù)據(jù)暴露在不必要的訪問(wèn)中。這種缺乏加密的情況會(huì)帶來(lái)重大的安全風(fēng)險(xiǎn)，例如數(shù)據(jù)在傳輸過(guò)程中的攔截、機(jī)密性的泄露、數(shù)據(jù)篡改和違反合規(guī)性等。

防護(hù)建議：

● 使用端到端加密，在整個(gè)通信過(guò)程中保護(hù)數(shù)據(jù)，只有授權(quán)方能夠解密和訪問(wèn)數(shù)據(jù)。

● 更新加密標(biāo)準(zhǔn)，確保實(shí)施強(qiáng)大的安全措施，并根據(jù)需要升級(jí)加密算法或協(xié)議。

● 采用訪問(wèn)控制措施，確保只有經(jīng)過(guò)授權(quán)的用戶能夠訪問(wèn)敏感信息和系統(tǒng)資源。

● 進(jìn)行加密實(shí)踐的定期審計(jì)和評(píng)估，及早發(fā)現(xiàn)并解決潛在漏洞。

8、修復(fù)能力不足

安全修復(fù)能力不足是指對(duì)云上應(yīng)用系統(tǒng)或程序未能及時(shí)安裝所需的安全修補(bǔ)程序。當(dāng)安全補(bǔ)丁未能按時(shí)應(yīng)用時(shí)，相關(guān)系統(tǒng)就容易受到網(wǎng)絡(luò)攻擊。惡意行為者通常會(huì)針對(duì)已知的軟件漏洞進(jìn)行攻擊，利用補(bǔ)丁安裝的延遲來(lái)獲取非法訪問(wèn)權(quán)限，危害云上數(shù)據(jù)的安全性。

防護(hù)建議：

● 實(shí)施補(bǔ)丁管理系統(tǒng)，自動(dòng)識(shí)別、測(cè)試和快速部署安全補(bǔ)丁。

● 定期執(zhí)行漏洞掃描，根據(jù)關(guān)鍵漏洞確定修補(bǔ)的優(yōu)先級(jí)。

● 創(chuàng)建修補(bǔ)策略，指定在整個(gè)云基礎(chǔ)架構(gòu)中安裝安全補(bǔ)丁的截止日期和方法。

● 與軟件提供商保持溝通，了解最新的安全補(bǔ)丁和更新。

● 創(chuàng)建分段網(wǎng)絡(luò)架構(gòu)，減少修補(bǔ)對(duì)整個(gè)系統(tǒng)的影響。

參考鏈接：https://www.esecurityplanet.com/cloud/cloud-storage-security-issues/